WordPress-Plug-in Essential Addons for Elementor als Schadcode-Schleuder
In der aktuellen Version von Essential Addons for Elementor haben die Entwickler eine Sicherheitslücke geschlossen.
(Bild: Alfa Photo/Shutterstock.com)
Admins, die ihre WordPress-Seite mithilfe des Plug-ins Essential Addons for Elementor gestalten, sollten die Software auf den aktuellen Stand bringen. Unter bestimmten Voraussetzungen könnten Angreifer Schadcode ausführen.
Einem Bericht der Sicherheitsforscher von Patchstack zufolge sind Websites nur verwundbar, wenn neben dem Plug-in noch die Widgets Dynamic Gallery und Product Gallery aktiv sind. Dann kann es bei der Verarbeitung von Nutzereingaben in der inlcude-Funktion von PHP zu Fehlern kommen.
Durch bestimmte Eingaben könnten Angreifer eine Local-File-Inclusion-Attacke auslösen. Darüber können Angreifer einen Webserver etwa da zubringen, mit Schadcode verseuchte Dateien auszuführen. Die Sicherheitslücke (CVE-2022-0320) ist mit dem Bedrohungsgrad „hoch“ eingestuft.
Jetzt patchen!
Das Plug-in weist WordPress zufolge mehr als 1 Million aktive Installationen auf. Die Entwickler geben an, Essential Addons for Elementor 5.0.5 gegen solche Attacken gerüstet zu haben. Alle vorigen Ausgaben sollen verwundbar sein.
(des)
